Deutscher Bundestag – 14. Wahlperiode
– 65 –
Ergänzt werden die bestehenden Vorschriften außerdem
um Regelungen für den Fall einer missbräuchlichen Nutzung von Telediensten und um Sanktionsmöglichkeiten
bei Pflichtverletzungen durch den Telediensteanbieter. So
sind Befugnisse zum Speichern von Nutzungsdaten im
Einzelfall vorgesehen, um dem Anbieter die Aufklärung
und Rechtsverfolgung eines vermuteten Missbrauchs zu
ermöglichen. Der Bußgeldkatalog des Entwurfs, der noch
an den des neuen BDSG angepasst werden soll, muss aus
meiner Sicht aber auch noch auf einige materiell-rechtliche Bereiche des TDDSG ausgedehnt werden. Damit
gäbe man den Aufsichtsbehörden ein Instrument an die
Hand, das der Umsetzung des TDDSG durch die Diensteanbieter den erforderlichen Nachdruck verleiht, was nach
den Erfahrungen geboten ist (s. u. Nr. 8.2).
Die Novellierung des TDDSG verfolgt als weiteres Ziel,
mehr Transparenz zu schaffen und diese bereichsspezifische Regelung so mit dem allgemeinen Datenschutzrecht
abzustimmen, dass sie die allgemein geltenden Vorschriften des BDSG lediglich durch Spezialregelungen für den
Bereich der Teledienste ergänzt bzw. modifiziert. So werden im Rahmen der Novellierung des BDSG die bisher im
TDDSG verankerten Grundsätze der Datenvermeidung
und -sparsamkeit in das BDSG aufgenommen, weshalb
sie im TDDSG nicht mehr erwähnt werden sollen. Dasselbe gilt für die anlassfreie Kontrolle durch die Aufsichtsbehörden. Ob der „normale“ Anwender die Tranzparenz, die durch diese Systematisierung angestrebt ist,
auch wirklich durchschaut, wird sich erst in der Praxis erweisen.
8.1.2
Vertrauen schaffen: Audit für
E-Commerce
Dass die Transparenz dort an ihre Grenze stößt, wo die
Grenze zwischen Online- und Offline-Welt verwischt
oder besser gesagt: nicht für jeden verständlich und nachvollziehbar verläuft, zeigen die Praktiken von InternetKaufhäusern, die vor allem im Jahr 2000 die Nutzer verunsichert haben. Macht nämlich ein Nutzer von der
Online-Bestellmöglichkeit eines solchen Kaufhauses Gebrauch, so gilt für die Daten, die im Online-Teil dieses
Handels beim Versenden des Bestellformulars anfallen,
das strenge TDDSG, das die Weitergabe dieser Nutzungsdaten an Dritte verbietet. Die Daten der Bestellung selbst,
d. h. die Lieferadresse und die Bezeichnung der bestellten
Ware, fallen unter das weniger strenge BDSG. Denn diese
Daten sind für die Abwicklung des Handels außerhalb der
Online-Welt – für die korrekte Zulieferung – erforderlich.
Hierfür erlaubt das BDSG die Weitergabe für Werbezwecke, solange der Kunde dem nicht ausdrücklich widersprochen hat.
Weil der Verbraucher das Einkaufen über das Internet aber
oft als einen einheitlichen Dienst ansieht, wird er auch
eine beruhigende Zusicherung von Vertraulichkeit auf den
gesamten Vorgang – von der Online-Bestellung bis zur
Auslieferung der gewünschten Ware bei ihm zu Hause –
beziehen. Und weil auch meistens verschwiegen wird,
dass diese Zusicherung nur für den Online-Teil des Handels gemeint ist, sieht der Kunde keinen Anlass, der wei-
Drucksache 14/5555
teren Verwendung seiner Daten zu widersprechen. Der
Täuschung folgt dann die Enttäuschung, wenn er die nicht
erwartete Nutzung seiner Daten dadurch bemerkt, dass er
Direktwerbung erhält. Der damit erzeugte Vertrauensschaden trifft nachher nicht nur die Anbieter, die solche
Verfahren praktizieren, sondern den gesamten Bereich
des E-Commerce.
Hier kann ein Datenschutzaudit abhelfen, das die Redlichkeit der gegenüber dem Kunden abgegebenen Erklärungen nicht am gesetzlichen Minimum misst, sondern
am Verständnis der Kunden.
Dass die rechtliche Grundlage für ein freiwilliges Datenschutzaudit (vgl. 17. TB Nr. 8.1) nicht im TDDSG, sondern durch eine entsprechende Vorschrift im neuen BDSG
geschaffen wird, belegt zweierlei: ein solches Instrument
wird nicht nur im Internet, sondern auch in vielen anderen
Bereichen als wirksames Mittel zur Förderung des Datenschutzes angesehen, und gesetzliche Rahmenbedingungen als ordnende Hand im Dschungel der vielfältigen
Selbstregulierungsaktivitäten im Internet sind dringend
erforderlich. Denn derweil sind deren Art und Anzahl
kaum überschaubar. Vor allem für den Bereich des ECommerce werden Gütesiegel angeboten, die dem Verbraucherschutz insgesamt dienen sollen und somit die
Einhaltung von Datenschutz-Mindeststandards nur als
eine von vielen „Eigenschaften“ eines Online Shops bestätigen. Beispielhaft seien hier nur Trusted Site des
TÜViT (www.trusted-site.de), Geprüfter Online Shop des
Europäischen Handelsinstituts (www.shopinfo.net) und
Trusted Shops des Gerling-Konzerns (www.trustedshops.de) genannt.
Da bei solchen Siegeln die Aussage zur überprüften Qualität auf ein entsprechendes Logo reduziert ist, benötigt
man eine gesetzliche Garantie als wesentlichen vertrauensbildenden Faktor. Im Interesse der Nutzer und zur Förderung des – immer noch erhofften – Wachstums des
neuen Marktes erscheint es mir daher umso wichtiger,
möglichst zeitnah zur Novellierung des BDSG auch Rahmenbedingungen für ein Datenschutzaudit festzulegen.
Ich unterstütze ein Audit, das anhand von definierten Kriterien und Verfahren die Datenschutzkonzepte und deren
praktische Umsetzung bei den Unternehmen prüft, wobei
praktische Umsetzung hier sowohl die organisatorischen
als auch die technischen Maßnahmen meint. Und damit
das durch Audit und Gütesiegel dem Nutzer gegebene
Versprechen auch wirklich Vertrauen bildet und erhält,
muss der Bruch dieses Versprechens spürbar sanktioniert
sein. Benötigt wird deshalb u. a. eine Vorschrift wie: „Wer
personenbezogene Daten anders verarbeitet, als er es versprochen hat, handelt rechtswidrig.“
Zu wünschen wäre, dass ein solches Modell Schule
macht und von anderen Ländern übernommen wird.
Wenn dann auch noch die Vergleichbarkeit der Ergebnisse sichergestellt wird, d. h. die Aussage der Gütesiegel
sich an gemeinsamen Kriterien orientiert, könnte so ein
einheitliches Datenschutzniveau im globalen Netz erreicht werden.